هشدار پژوهشگران آمریکایی: بعضی اپلیکیشن‌ها از صفحه موبایل شما ویدئو ضبط می‌کنند!

تاریخ : 1397/4/18 نویسنده: مسعود بهرامی شرق
برچسب‌ها :	امنیت Security ، گوشی هوشمند Smartphone

واحد خبر mobile.ir : بسیاری از مردم دنیا – اعم از عوام و حتی نخبگان – بر این باورند که گوشی‌های هوشمند یکی از ابزارهای شنود و جاسوسی هستند. برخی دیگر، که کمی خوشبین‌تر از دسته اول هستند، معتقدند کمپانی‌های بزرگی مثل فیس‌بوک با شنیدن مکالمه‌های افراد از طریق اسمارت‌فون‌هایشان، آنها را هدف تبلیغات قرار می‌دهند. چندی پیش نیز مجله معروف "وایس" (Vice) با انتشار مقاله‌ای با عنوان "گوشی شما در حال شنود است و این یک توهم نیست" به این قضیه دامن زد. نویسنده این مقاله، در یک آزمایش 5 روزه، در مکالمه‌های خود با تلفن همراه، مدام از بازگشت به دانشگاه و نیاز به تی‌شرت ارزان صحبت کرده بود. طبق ادعای وی، پس از این آزمایش، تبلیغ‌هایی در رابطه با تی‌شرت و کلاس‌های دانشگاه روی صفحه فیس‌بوک او ظاهر شده بود.

Northeastern University Phone Spying Research

این فضای ذهنی مسموم همواره مردم را آزار داده و حتی مارک زاکربرگ، مدیر عامل فیس‌بوک، هم نتوانست نمایندگان کنگره را قانع کند که این مسأله حقیقت ندارد. در این میان جای خالی پژوهشی که بتواند در این زمینه راه‌گشا باشد، همیشه حس شده است. خوشبختانه اخیرا باخبر شدیم گروهی از پژوهشگران دانشگاه Northeastern University (واقع در شهر بوستون از ایالت ماساچوست آمریکا) در این زمینه اقدام به انجام یک تحقیق منسجم نموده‌اند. نتایج این پژوهش – که برای نخستین بار در سایت Gizmodo منتشر شد – نشان می‌دهد شنود مکالمه کاربران از طریق اپلیکیشن‌های تلفن همراه صحت نداشته و هیچ مدرکی مبنی بر فعال کردن ناخواسته میکروفن یا ارسال فایل صوتی از گوشی مشاهده نشده است. اما در کمال ناباوری، پژوهشگران در این آزمایش به یافته‌ای عجیب رسیدند: اپلیکیشن‌هایی که از صفحه موبایل ویدئو ضبط کرده و آن را به برخی شرکت‌ها می‌فرستند!

برای انجام این آزمایش، پژوهشگران 10 گوشی اندرویدی انتخاب کرده و 17,260 اپلیکیشن پرطرفدار اندروید را روی آنها نصب نمودند (از این میان بیش از 9,000 اپلیکیشن اجازه دسترسی به دوربین و میکروفن را داشتند). بنا به مصلحت دید پژوهشگران، این پژوهش بایستی به مدت یک سال ادامه می‌یافت، اما بدون شک کار کردن با این تعداد اپلیکیشن آن هم روی 10 اسمارت‌فون، کاری غیرممکن بود. به همین دلیل پژوهشگران یک برنامه خودکار را برای تعامل با این اپلیکیشن‌ها در نظر گرفته و سپس ترافیک داده‌ای تولیدشده را تحلیل کردند. البته لازم به ذکر است که استفاده از این برنامه خودکار – که نقش یک کاربر مجازی را ایفا می‌کرد – از محدودیت‌های این پژوهش به شمار می‌رود، زیرا این برنامه خودکار نمی‌تواند مثل یک انسان با اپلیکیشن‌ها تعامل کند؛ به عنوان مثال، نمی‌تواند کارهایی از قبیل درست کردن نام کاربری و گذرواژه برای ایجاد اکانت در یک اپلیکیشن را انجام دهد.

با تمام این اوصاف، پس از اتمام آزمایش و تحلیل داده‌ها، همانطور که در ابتدا هم گفته شد، علی‌رغم اجازه دسترسی بیش از 9,000 اپلیکیشن به میکروفن و دوربین، هیچ‌گونه شنود مکالمات از طریق اپلیکیشن‌ها گزارش نشد. اما در چند مورد مشاهده شد که اسکرین‌شات‌ها و ویدئوهایی از آنچه کاربر در حال انجام دادن با اپلیکیشن بوده، به دامنه‌های دیگری فرستاده شده است. یکی از این موارد به اپلیکیشن GoPuff مربوط می‌شود. این اپلیکیشن متعلق به استارت‌آپی به همین نام در آمریکاست که خدمات تحویل اقلام خوراکی و خواروبار به درب منازل را ارائه می‌کند. به گفته تیم تحقیقاتی، اپلیکیشن GoPuff مراحل کار کردن کاربر با آن را ضبط کرده و فایل ویدئویی را به وب‌سایتی وابسته به Appsee (یک کمپانی فعال در عرصه تحلیل داده‌های موبایل) می‌فرستد. به عبارت دقیق‌تر، توسعه‌دهندگان اپلیکیشن GoPuff یک خط کد یا یک SDK را در این اپلیکیشن گنجانده‌اند که به Appsee اجازه می‌دهد داده‌های GoPuff را جمع‌آوری کند. گفتنی‌ست، فایل ویدئویی مذکور، از صفحه نمایشگر موبایل ضبط شده و می‌تواند دربردارنده اطلاعات شخصی کاربران (در این مورد، کدپستی آنها) باشد.

البته این کار چندان هم از سوی Appsee تعجب‌برانگیز نیست، چرا که خود Appsee با افتخار اعلام کرده که توانایی ضبط مراحل کار کردن افراد با یک اپلیکیشن را در وب‌سایتش دارد. اما آنچه که باعث ناراحتی تیم تحقیقاتی شده، آن است که کاربران از ضبط شدن نحوه تعامل‌شان با اپلیکیشن هیچ اطلاعی نداشته و این موضوع در هیچ‌یک از بندهای سیاست حفظ حریم خصوصی GoPuff نیز قید نشده است. پس از تماس گروه تحقیقاتی با GoPuff، این استارت‌آپ مجبور شد بندی را به سیاست حریم خصوصی خود اضافه و اذعان کند که Appsee ممکن است اطلاعات شخصی قابل شناسایی کاربران را دریافت کند.

اما Appsee به هیچ وجه زیر بار نرفته و تقصیرها را به گردن GoPuff انداخته است. به گفته زاهی بوسیبا (Zahi Boussiba)، مدیر عامل Appsee، در شرایط استفاده از خدمات (یا همان terms of service) شرکت به وضوح قید شده که مشتریان ما باید استفاده از هرگونه تکنولوژی دیگری را علنا بیان کنند و شرایط ما مشتریان را از ردیابی هر گونه داده شخصی در Appsee منع کرده است. وی ضمن اشاره به اینکه تعدادی از رقبای Appsee "تکنولوژی بازپخش جلسه کامل" یا full-session replay technology را در هر دو پلتفرم اندروید و iOS به مشتریان خود ارائه می‌دهند، خاطر نشان کرد که کاربران برای جلوگیری از ضبط شدن محتوای نمایشگر خود می‌توانند قسمت‌های حساس اپلیکیشن را در لیست سیاه قرار دهند.

وی در ادامه گفت: «به نظر می‌رسد در این مورد، تکنولوژی Appsee توسط مشتری [یعنی GoPuff] مورد سوءاستفاده قرار گرفته و شرایط استفاده از خدمات ما نقض شده باشد. به محض اینکه این موضوع مورد توجه ما قرار گرفت، بلافاصله قابلیت‌های ردیابی برای اپلیکیشن مذکور را غیرفعال کرده و تمام داده‌های ضبط‌شده را از سرورهای خود پاک کردیم.»

اما به گفته یکی از سخنگویان گوگل، Appsee آنقدر هم بی‌تقصیر نیست. وی گفت: «پس از بازبینی یافته‌های پژوهشگران، به این نتیجه رسیدیم که بخشی از سرویس‌های Appsee ممکن است برخی از توسعه‌دهندگان را در معرض خطر نقض سیاست‌های گوگل پلی قرار دهد.» وی افزود گوگل در تلاش است تا با همکاری با مسئولان Appsee، مطمئن شود که توسعه‌دهندگان ارتباط درستی بین عملکرد کیت توسعه نرم‌افزار و کاربران نهایی اپلیکیشن برقرار می‌کنند. طبق سیاست‌های گوگل پلی، نحوه جمع‌آوری داده‌های کاربران بایستی به آنها اعلام شود.

خلاصه داستان این است که استارت‌آپ GoPuff برای بهینه‌سازی عملکرد اپلیکیشن خود از Appsee کمک می‌گیرد و لذا ضبط اطلاعات کاربران برای این کمپانی غیرمنتظره نبوده است. اما اینکه طرف سومی وجود دارد که می‌تواند بدون اطلاع کاربر، محتوای نمایشگر او را ضبط کند، بسیار نگران‌کننده است. همچنین، این قضیه نشان می‌دهد سرقت اطلاعات گوشی توسط یک عامل مخرب تا چه حد می‌تواند آسان باشد. توجه داشته باشید که یک اسکرین‌شات یا ویدئو از کار کردن شخص با اپلیکیشن می‌تواند زمینه دسترسی به پیام‌های خصوصی، اطلاعات شخصی و یا حتی پسورد را هم فراهم کند، زیرا در بسیاری از اپلیکیشن‌ها، کاراکترهای پسورد قبل از تبدیل شدن به یک ستاره سیاه‌رنگ، به نمایش در می‌آیند.

نتایج این تحقیق از طریق وب‌سایت Gizmodo منتشر شده، اما قرار است یافته‌های پژوهش به شکل رسمی ماه آینده در "کنفرانس سمپوزیوم تکنولوژی بهبود حریم شخصی" واقع در بارسلونای اسپانیا ارائه شود. درست است که در این پژوهش، هیچ مدرکی دال بر شنود مکالمات کاربران پیدا نشده، اما اعضای تیم تحقیقاتی در بیان این حقیقت 100 درصد مطمئن نبودند، زیرا همانطور که گفته شد، کنترل 10 اسمارت‌فونی که مورد آزمایش قرار گرفت، در اختیار یک برنامه خودکار بود و نه یک انسان واقعی. همچنین اسمارت‌فون‌های مذکور در یک محیط کنترل‌شده قرار داشته و مثل سایر گوشی‌ها در شرایط معمولی نبودند. این سناریو هم مطرح است که شاید برخی اپلیکیشن‌ها بتوانند مکالمه کاربر را تبدیل به متن کرده و به جای فایل صوتی، یک فایل متنی را ارسال کنند. نکته دیگر آنکه تمامی گوشی‌ها اندرویدی بودند و سیستم عامل iOS در این پژوهش مورد بررسی قرار نگرفته است. با این اوصاف، نمی‌توان نظریه شنود مکالمات را 100 درصد منتفی دانست.

منبع : Gizmodo